Programma Bug Bounty
Ci impegniamo a proteggere la nostra comunità e abbiamo istituito un programma di sicurezza che consente agli utenti di segnalare problemi di sicurezza relativi al nostro sito web.
Se ritieni di aver trovato una vulnerabilità o un problema e desideri partecipare al nostro programma, ti preghiamo di fornirci una descrizione dettagliata del problema, compresi i passi che possiamo compiere per riprodurre il problema e/o un proof-of-concept.
Se invii una segnalazione, ti preghiamo di attendere un periodo di tempo ragionevole affinché il nostro team risponda alla tua segnalazione e risolva il problema. Apprezziamo molto i tuoi sforzi per proteggere la nostra comunità e potremmo ricompensare i partecipanti per il loro aiuto. Tutti i rapporti sono soggetti ai termini e alle condizioni del nostro programma indicati di seguito e ai Termini e condizioni del servizio disponibili sul sito web.
Ambito di applicazione
Siamo lieti di ricevere segnalazioni di eventuali problemi o vulnerabilità legate alla sicurezza riscontrate sul nostro sito web. Tuttavia, ti invitiamo a non ricorrere al phishing, allo spamming o ad altri metodi discutibili che potrebbero molestare i nostri utenti o compromettere i loro dati, generare un traffico significativo o causare interruzioni al nostro sito web. L’uso di strumenti di scansione automatica della sicurezza è consentito a condizione che non creino problemi.
Bounty
La ricompensa minima è di 100 dollari per le violazioni della sicurezza. La ricompensa dipende dalla gravità della violazione della sicurezza. I problemi che non hanno un impatto sulla sicurezza non sono eleggibili per una taglia, ma sono comunque ben accetti e saranno trattati come qualsiasi altra segnalazione.
Ammissibilità
- Devi essere il primo a segnalare la vulnerabilità.
- Non accedi ai dati di altri utenti e utilizzi solo i tuoi account creati.
- Non devi divulgare pubblicamente la vulnerabilità finché non l’avremo risolta.
- Dovrai fornire una prova di concetto funzionante che sfrutti la vulnerabilità.
- Il rapporto sulle vulnerabilità sarà criptato con PGP (vedi sotto per i dettagli; vedi: Contattaci).
Esclusione
Registrazione/deregistrazione CSRF
DDoS
Ingegneria sociale presso i clienti o i dipendenti di HOT Group AG
Self-XSS (si richiede la prova di come l’XSS possa essere utilizzato per attaccare un altro utente Algolia)
Inosservanza dei limiti tariffari
Report di strumenti e scansioni automatizzate
Vulnerabilità nell’invio di messaggi spam o non autorizzati
Bug in software di terze parti
Opzioni X-frame correlate
Relativo all’HSTS
DNSSEC
Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità
Attacchi fisici all’infrastruttura
Attacchi teorici
Rottura della fiducia SSL/TLS
Compromissione del browser/dispositivo (ad esempio condivisione di un computer, accesso fisico al dispositivo di un utente, ...)
Vulnerabilità che colpiscono solo gli utenti di browser e piattaforme obsolete o senza patch
Politiche di recupero della password e dell’account, ad esempio scadenza del link di reset o complessità della password.
Vulnerabilità senza risoluzione da parte nostra (HEIST, ...)
Record DNS obsoleti che puntano a un sistema che non appartiene a noi
Proprietà e incentivi
Qualsiasi segnalazione che ci invii diventa di nostra proprietà e non siamo obbligati a rispondere a nessuna segnalazione. Tuttavia, se rispondiamo a una segnalazione, possiamo, a nostra discrezione, fornirti un compenso monetario o non monetario per dimostrarti il nostro apprezzamento per il tuo aiuto. L’utente è responsabile di tutte le tasse e di tutte le spese, i costi o le commissioni associate alla sua partecipazione al Programma e a qualsiasi premio.
Esclusioni di garanzia
L’UTENTE RICONOSCE E ACCETTA ESPRESSAMENTE CHE: (1) LA SUA PARTECIPAZIONE AL PROGRAMMA E L’UTILIZZO DI QUALSIASI PREMIO SONO A SUO RISCHIO E PERICOLO. HOT GROUP AG DECLINA ESPRESSAMENTE TUTTE LE GARANZIE DI QUALSIASI TIPO, ESPRESSE O IMPLICITE, INCLUSE, A TITOLO ESEMPLIFICATIVO, LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE E NON VIOLAZIONE. HOT GROUP AG DECLINA SPECIFICAMENTE OGNI RESPONSABILITÀ PER QUALSIASI AZIONE DERIVANTE DALLA TUA PARTECIPAZIONE AL PROGRAMMA O DALL’USO DI QUALSIASI PREMIO.
Nota finale
Ti chiediamo di seguire i principi della divulgazione responsabile e di dare al nostro team di sviluppo un tempo ragionevole per rispondere e correggere il problema presentato prima di renderlo pubblico. Ti chiediamo di comunicare apertamente con noi in merito alla pubblicazione, in modo da essere d’accordo sul rapporto e sulla tempistica.
Grazie mille, apprezziamo molto il tuo impegno! Divertiti con l’hacking!
Se ritieni di aver trovato una vulnerabilità o un problema e desideri partecipare al nostro programma, ti preghiamo di fornirci una descrizione dettagliata del problema, compresi i passi che possiamo compiere per riprodurre il problema e/o un proof-of-concept.
Se invii una segnalazione, ti preghiamo di attendere un periodo di tempo ragionevole affinché il nostro team risponda alla tua segnalazione e risolva il problema. Apprezziamo molto i tuoi sforzi per proteggere la nostra comunità e potremmo ricompensare i partecipanti per il loro aiuto. Tutti i rapporti sono soggetti ai termini e alle condizioni del nostro programma indicati di seguito e ai Termini e condizioni del servizio disponibili sul sito web.
Ambito di applicazione
Siamo lieti di ricevere segnalazioni di eventuali problemi o vulnerabilità legate alla sicurezza riscontrate sul nostro sito web. Tuttavia, ti invitiamo a non ricorrere al phishing, allo spamming o ad altri metodi discutibili che potrebbero molestare i nostri utenti o compromettere i loro dati, generare un traffico significativo o causare interruzioni al nostro sito web. L’uso di strumenti di scansione automatica della sicurezza è consentito a condizione che non creino problemi.
Bounty
La ricompensa minima è di 100 dollari per le violazioni della sicurezza. La ricompensa dipende dalla gravità della violazione della sicurezza. I problemi che non hanno un impatto sulla sicurezza non sono eleggibili per una taglia, ma sono comunque ben accetti e saranno trattati come qualsiasi altra segnalazione.
Ammissibilità
- Devi essere il primo a segnalare la vulnerabilità.
- Non accedi ai dati di altri utenti e utilizzi solo i tuoi account creati.
- Non devi divulgare pubblicamente la vulnerabilità finché non l’avremo risolta.
- Dovrai fornire una prova di concetto funzionante che sfrutti la vulnerabilità.
- Il rapporto sulle vulnerabilità sarà criptato con PGP (vedi sotto per i dettagli; vedi: Contattaci).
Esclusione
Registrazione/deregistrazione CSRF
DDoS
Ingegneria sociale presso i clienti o i dipendenti di HOT Group AG
Self-XSS (si richiede la prova di come l’XSS possa essere utilizzato per attaccare un altro utente Algolia)
Inosservanza dei limiti tariffari
Report di strumenti e scansioni automatizzate
Vulnerabilità nell’invio di messaggi spam o non autorizzati
Bug in software di terze parti
Opzioni X-frame correlate
Relativo all’HSTS
DNSSEC
Intestazioni di sicurezza mancanti che non portano direttamente a una vulnerabilità
Attacchi fisici all’infrastruttura
Attacchi teorici
Rottura della fiducia SSL/TLS
Compromissione del browser/dispositivo (ad esempio condivisione di un computer, accesso fisico al dispositivo di un utente, ...)
Vulnerabilità che colpiscono solo gli utenti di browser e piattaforme obsolete o senza patch
Politiche di recupero della password e dell’account, ad esempio scadenza del link di reset o complessità della password.
Vulnerabilità senza risoluzione da parte nostra (HEIST, ...)
Record DNS obsoleti che puntano a un sistema che non appartiene a noi
Proprietà e incentivi
Qualsiasi segnalazione che ci invii diventa di nostra proprietà e non siamo obbligati a rispondere a nessuna segnalazione. Tuttavia, se rispondiamo a una segnalazione, possiamo, a nostra discrezione, fornirti un compenso monetario o non monetario per dimostrarti il nostro apprezzamento per il tuo aiuto. L’utente è responsabile di tutte le tasse e di tutte le spese, i costi o le commissioni associate alla sua partecipazione al Programma e a qualsiasi premio.
Esclusioni di garanzia
L’UTENTE RICONOSCE E ACCETTA ESPRESSAMENTE CHE: (1) LA SUA PARTECIPAZIONE AL PROGRAMMA E L’UTILIZZO DI QUALSIASI PREMIO SONO A SUO RISCHIO E PERICOLO. HOT GROUP AG DECLINA ESPRESSAMENTE TUTTE LE GARANZIE DI QUALSIASI TIPO, ESPRESSE O IMPLICITE, INCLUSE, A TITOLO ESEMPLIFICATIVO, LE GARANZIE IMPLICITE DI COMMERCIABILITÀ, IDONEITÀ PER UNO SCOPO PARTICOLARE E NON VIOLAZIONE. HOT GROUP AG DECLINA SPECIFICAMENTE OGNI RESPONSABILITÀ PER QUALSIASI AZIONE DERIVANTE DALLA TUA PARTECIPAZIONE AL PROGRAMMA O DALL’USO DI QUALSIASI PREMIO.
Nota finale
Ti chiediamo di seguire i principi della divulgazione responsabile e di dare al nostro team di sviluppo un tempo ragionevole per rispondere e correggere il problema presentato prima di renderlo pubblico. Ti chiediamo di comunicare apertamente con noi in merito alla pubblicazione, in modo da essere d’accordo sul rapporto e sulla tempistica.
Grazie mille, apprezziamo molto il tuo impegno! Divertiti con l’hacking!